公司风险管理制度

公司风险管理系统第一章总则第一条为了规范中国水利水电第一工程局有限公司(以下简称“公司”)的风险管理，建立规范有效的风险控制体系，提高风险防范能力，确保公司安全稳定运行，提高管理水平，根据法律、法规和中华人民共和国公司法、企业内部控制基本规范等规范性文件的有关规定，结合公司实际情况，制定本制度。第二条本制度的目的是为公司实现以下目标提供合理保证：(a)将风险控制在与总体目标相符且可承担的范围内；(2)实现公司内外信息沟通的真实性和可靠性；(三)确保遵守法律法规；(4)提高公司的经营效率和效率；(5)确保公司建立重大风险的危机管理计划，避免因灾难性风险或人为失误而遭受重大损失。第三条公司风险是指未来不确定性对公司业务目标实现的影响。第四条风险按照不同的企业目标进行分类。企业风险分为战略风险、经营风险、财务风险和法律风险。(1)战略风险：由于未制定或制定不正确的战略决策而影响战略目标实现的负面因素。(2)经营风险：经营决策不当，阻碍或影响经营目标实现的因素。(3)财务风险：包括财务报告失真风险、资产安全威胁和欺诈风险。1.财务报告失真的风险。未完全按照有关会计准则和会计制度的规定组织会计核算和编制财务会计报告，未按照规定披露相关信息，导致财务会计报告和信息披露不完整、不准确和不及时。2.资产安全面临威胁的风险。未建立或实施相关资产管理制度，导致设备、存货、证券等公司资产的使用价值和流动性减少或消失。3.欺诈风险。通过故意行为获取不公平或不正当利益。(4)法律风险：由于国家法律、法规和政策以及深圳证券交易所相关文件的规定没有得到充分、认真的执行，影响合规目标实现的因素。第五条根据风险能否给公司带来盈利机会，风险可分为纯风险和机会风险。第六条根据风险的影响程度，风险分为一般风险和重要风险。第七条本制度适用于公司及其控股子公司。第二章风险管理和职责分工第八条公司各部门是风险管理的第一道防线。董事会下属的审计部门和审计委员会是风险管理的第二道防线。董事会和股东大会是风险管理的第三道防线。第九条公司各部门在风险控制和管理方面的主要职责如下：(1)公司各部门应根据公司内控部制定的整体风险评估计划，按照业务分工，协同内控项目组，识别和分析相关业务流程的风险，确定风险应对计划。(2)根据识别的风险和确定的风险应对计划，根据公司确定的控制设计方法和描述工具，设计并记录相关控制。根据风险管理的要求修改和完善控制设计。包括建立控制和管理体系，按照规定的方法和工具描述业务流程，准备风险控制文件和程序文件。(3)组织控制系统的实施，监督控制系统的实施，发现、收集和分析控制缺陷，提出改进控制缺陷的建议并实施。对于重大缺陷和实质性漏洞，除向分管领导汇报情况外第十一条广泛持续收集与公司风险和风险管理相关的内部和外部初始信息，包括历史数据和未来预测，并对各部门和控制子公司实施初始信息收集职责分工。第十二条在战略风险方面，公司应广泛收集国内外公司因战略风险失控而遭受损失的案例，收集与公司有关的宏观经济政策、技术环境、市场需求、竞争状况等重要信息。重点是公司的发展战略和计划、投融资计划、年度经营目标、经营战略以及编制这些战略、计划、计划和目标的相关依据。第十三条金融风险方面，广泛收集境内外公司失控金融风险引发的危机案例，收集公司盈利能力、资产运营能力、偿债能力和发展能力指标等重要信息，重点关注成本核算、资金结算、现金管理等业务中已经发生或容易发生差错的业务流程或环节。第十四条在经营风险方面，境内外公司应广泛收集公司因忽视市场风险和缺乏应对措施而遭受损失的案例，收集公司产品结构、市场需求、竞争对手、主要客户和供应商的重要信息，监督、评估和持续改进现有业务流程和信息系统的运行，分析公司风险管理的现状和能力。第十五条在法律风险方面，国内外公司广泛收集公司因忽视法律风险和缺乏应对措施而遭受损失的案例，收集法律环境、员工道德、重大协议和合同、重大法律纠纷等信息。第十六条公司应对收集到的风险评估初始信息进行必要的筛选、提炼、比较、分类和组合。第四章风险评估第十七条公司风险评估主要通过确立风险管理理念和风险接受度、设定目标、风险识别、风险分析和风险对策五个基本程序进行。第十八条公司风险管理理念和风险接受度的确立是公司开展风险评估的基础。(1)公司的风险管理理念是公司对如何识别整个业务流程(从战略制定和实施到公司日常活动)中的风险的信念和态度。公司实施稳健的风险管理理念，对高风险投资项目采取谨慎的态度。(2)风险接受度是指公司在追求目标的过程中愿意接受的风险程度。一般来说，公司可以将风险接受度分为三类：“高”、“中”或“低”。公司从定性的角度考虑风险接受的程度。总体而言，公司将风险接受度定义为“低”，即公司在经营管理过程中采取谨慎的风险管理态度，能够接受较低风险的发生。公司风险接受水平的选择也符合公司的风险管理理念。第十九条目标设定是风险识别、风险分析和风险应对的前提。公司必须首先设定目标，然后才能识别和评估影响目标实现的风险，并采取必要措施控制这些风险。公司的目标包括战略目标、运营目标、合规目标和财务报告目标。目标的确定必须符合国家法律法规和行业发展规划，符合公司的战略发展规划，符合深圳证券交易所证券监管机构的规定。第二十条风险识别是识别可能阻碍公司目标实现、阻碍公司创造价值或侵蚀现有价值的因素。公司可以通过问卷、小组讨论、专家咨询、情景分析、政策分析、行业基准、访谈等方式识别风险。公司应准确识别与实现控制目标相关的内部风险和外部风险2.组织结构、运营模式、资产管理和业务流程等管理因素。3.研发、技术投资和信息技术应用等自主创新因素。4、财务状况、经营成果、现金流量等财务因素。5.操作安全、员工健康、环境保护等安全环保因素。6.其他相关内部风险因素。(2)在识别外部风险时，公司应注意以下因素：1.经济形势、产业政策、融资环境、市场竞争和资源供给等经济因素。2、法律法规、监管要求等法律因素。3.安全稳定、文化传统、社会信用、教育水平、消费行为等社会因素。4、技术进步、技术进步等科技因素。5、自然灾害、环境条件等自然环境因素。6.其他相关外部风险因素。第二十一条风险分析主要从风险发生的可能性和对公司目标的影响程度两个角度对识别出的风险进行分析和排序，确定需要重点关注和控制的风险。风险分析方法通常由定性和定量方法组成。当风险分析不适于定量分析，或者没有定量分析所需的足够可信的数据，或者收购成本非常高时，公司通常使用定性分析。公司对风险进行分析，确定哪些风险应该关注，哪些风险应该普遍关注，并进一步对需要关注的风险进行分类，分别确定为“重要风险”和“一般风险”，为风险应对奠定基础。风险重要程度的判断主要根据风险的可能性和影响程度来确定：(a)如果风险发生的可能性“极不可能”，则该风险可能不被注意；(2)如果风险发生的概率高于或等于“可能发生”，且风险的影响程度较小，则该风险被确定为一般风险；(3)如果风险发生的概率等于或高于“风险可能发生”，且风险的影响程度较大，则该风险被确定为重要风险。公司在进行风险分析时，应充分吸收专业人员，组建风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。第二十二条风险对策。根据风险分析结果，公司应结合风险发生的原因和承受程度，权衡风险和收益，选择风险应对方案：规避风险、接受风险、降低风险或分担风险。(1)风险规避：指公司通过放弃或停止与超出风险承受能力的风险相关的业务活动来避免和减轻损失的对策。例如，停止拓展新的地理市场或出售公司的一个分支机构。(2)降低风险：指公司在权衡成本和收益后，准备采取适当的控制措施来降低风险或损失，并将风险控制在风险承受能力范围内的对策。(3)风险共担：指公司利用他人力量将风险控制在风险承受能力范围内的对策，如业务分包、保险购买等。和适当的控制措施。(4)接受风险：指公司风险承受能力范围内的风险。权衡成本和收益后，公司不准备采取控制措施来降低风险或减轻损失。公司在确定具体的风险应对计划时，应考虑以下因素：1.风险应对计划对风险可能性和风险程度的影响，以及风险应对计划是否与公司的风险承受能力相一致；2.比较方案的成本和收益；3.比较计划中可能的机会和相关风险；4.充分考虑各种风险应对方案的组合；5.合理分析和准确把握董事、经理、其他高级管理人员和关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营造成重大损失；6.结合不同发展阶段和业务拓展，不断收集与风险变化相关的信息，开展风险识别第五章风险管理解决方案第二十三条公司应根据风险应对策略，针对各种风险或各种重大风险制定风险管理方案。一般而言，该计划应包括风险解决的具体目标、所需的组织领导、所涉及的管理和业务流程、所需的条件、手段和其他资源、风险事件发生之前、期间和之后采取的具体应对措施以及风险管理工具。第二十四条公司根据业务战略与风险战略相一致、风险控制与经营效率和效果相平衡的原则，制定风险化解的内部控制计划，并制定涵盖重大风险涉及的所有管理和业务流程的全过程控制措施。对于涉及其他风险的业务流程，应以关键环节为控制点，并采取相应的控制措施。第二十五条公司应制定合理有效的内部控制措施，包括以下内容：(一)建立内部控制岗位授权制度。对于涉及内部控制的每个岗位，应明确授权的对象、条件、范围和金额，任何组织和个人不得超越授权做出风险决策；(二)建立内部控制报告制度。明确规定报告人和接收人、时间、内容、频率、传递路线、负责处理报告的部门和人员等。(三)建立内部控制审批制度。对涉及内部控制的重要事项，应明确规定审批程序、条件、范围和限额、必要的文件、授权审批的部门和人员及其相应的职责；(4)建立内部控制责任制。按照权利、义务和责任相统一的原则，明确界定各相关部门和业务单位、岗位和人员的职责和奖惩制度；(五)建立内部控制审计和检查制度。结合内部控制的相关要求、方法、标准和程序，明确规定审计检查的对象、内容、方法和部门等。(六)建立内部控制评价体系。合格的公司应将每个业务部门的风险管理实施与绩效工资挂钩。(七)建立重大风险预警系统和应急处理机制。明确风险预警标准，针对可能发生的重大风险或突发事件制定应急预案，明确责任人员，规范处置程序，确保突发事件的及时妥善处置；(8)建立和完善公司法律顾问制度。大力加强公司法律风险防范机制建设，形成由公司决策层牵头、公司法律管理职能部门牵头、公司法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善公司重大法律纠纷的备案管理制度；(九)建立重要岗位权力制衡制度，明确规定不相容职务的分离。主要包括授权和批准、业务处理、会计记录、财产保管、审计和检查等职责。对于涉及内部控制的重要岗位，可以设置两人一岗两责，相互制约。明确拟采取的监督措施和上级部门或岗位人员应承担的监督责任；把这个岗位作为内部审计的重点等等。第二